Réponse — Gouvernance de l’IA
Que doit contenir une liste de contrôle Loi 25 + IA pour une municipalité ?
Une liste de contrôle Loi 25 + IA pour une municipalité nomme des bonnes pratiques génériques : désigner un responsable, tenir l’inventaire des outils d’IA en usage, réaliser une ÉFVP, documenter les décisions automatisées et tenir le registre des incidents. Elle éclaire votre gouvernance — elle ne certifie aucune conformité.
Comment lire cette liste
C’est une liste de contrôle générique, faite de bonnes pratiques — le même point de départ que retiendrait toute municipalité québécoise qui utilise l’IA. Chaque élément est un motif de contrôle nommé, avec une phrase d’ancrage. Ce n’est pas un avis juridique, et aucune liste ne rend une organisation en règle. Depuis septembre 2023, la Loi 25 lie directement les municipalités, sous la surveillance de la Commission d’accès à l’information (CAI).
Les éléments
- Désigner un responsable de la protection des renseignements personnels. La Loi 25 oblige la municipalité à nommer une personne responsable — la fonction que l’usage de l’IA met sous pression.
- Tenir l’inventaire des outils d’IA en usage. Recenser chaque copilote, agent et intégration touchant des données municipales, y compris ceux qu’un fournisseur a activés par défaut.
- Réaliser une ÉFVP pour les projets d’IA touchant des renseignements personnels. La Loi 25 exige une évaluation avant d’acquérir, de développer ou de refondre un tel système — avec un soin particulier lorsque des données quittent le Québec.
- Documenter les décisions fondées exclusivement sur un traitement automatisé. Lorsqu’une décision est entièrement automatisée, l’art. 65.2 exige d’informer la personne, de communiquer sur demande les principaux facteurs et paramètres, et de recueillir ses observations.
- Tenir un registre des incidents de confidentialité. La Loi sur l’accès (A-2.1, art. 63.8 à 63.11) exige un registre des incidents et, lorsqu’un incident présente un risque de préjudice sérieux, d’aviser la CAI et les personnes concernées.
- Encadrer les communications de renseignements hors Québec. Évaluer les données qui quittent la province avant qu’un outil d’IA les y transmette.
- Consigner vos mesures de gouvernance au moment même. Des dossiers contemporains — et non une paperasse assemblée avant un examen — sont le fondement de la diligence raisonnable démontrable.
Où s’arrête une liste
Une liste générique éclaire votre réflexion ; elle ne fait pas le travail et ne prouve pas qu’il a été fait. La bibliothèque d’instruments de gouvernance versionnés et intégrés au dossier — les mêmes éléments sous forme de procédures et de gabarits que vous pouvez adopter — est offerte dans AI Auditability, où l’adoption de chaque instrument se consigne au dossier comme preuve datée. Agentica, entreprise de gouvernance de l’IA établie à Montréal, tient ce dossier en continu.
Agentica fournit des preuves de gouvernance de l’IA et de l’intelligence des risques. Ses services ne constituent ni un avis juridique ni une certification de conformité.